WO2009155787A1

WO2009155787A1 - 对终端进行认证的方法、系统及服务器

Info

Publication number: WO2009155787A1
Application number: PCT/CN2009/000701
Authority: WO
Inventors: 邵春菊; 周博; 刘佳
Original assignee: 中国移动通信集团公司
Priority date: 2008-06-23
Filing date: 2009-06-23
Publication date: 2009-12-30
Also published as: CN101616414A

Description

对终端进行认证的方法、系统及服务器技术领域

本发明涉及通信领域的数据传输技术，尤其涉及一种对终端进行认证的方法、系统及服务器。背景技术

在通信系统中，当终端的当前接入网络不是该终端的家乡网络，终端向当前接入网络发起各种业务（如使用当前接入网络的无线局域网（Wireless LAN, WLAN )业务）请求时，当前接入网络都需要对该终端的合法性进行认证，该认证过程包括：

1、终端向当前接入网络发送认证请求 , 该认证请求包含终端的用户名和密码。

2、终端的当前接入网络将该认证请求转发至该终端的家乡网络。

3、该终端的家乡网络利用认证请求中的用户名和密码对该终端是否合法进行认证，并将认证结果返回给该终端的当前接入网络。

4、如果返回的认证结果为该终端是合法用户，则当前接入网络认为该终端认证通过，并向该终端提供相应的业务；反之，如果返回的认证结果为该终端是非法用户，则当前接入网络可以拒绝为该终端提供相应的业务。

在实际的通信过程中，不同的网络存储的密码形式不同，能够识别的密码形式也不同。如果终端的家乡网络和当前接入网络存储、识别的密码形式不同，那么终端的家乡网络将不能正确识别接收到的由当前接入网络发送的认证请求中的密码，因此，终端的认证过程将无法正常执行。例如，终端的家乡网络采用明文形式对密码进行存储及发送，并且也只能识别明文形式的密码；而终端的当前接入网络却是利用一定的加密算法（如挑战握手认证协议 ( Challenge Handshake Authentication Protocol, CHAP )力口密算法）对密码进行加密后存储及发送，并且也只能识别以该加密算法加密后的密码。在这种情况下，终端的当前接入网络接收到终端发送的用户名和密码后，按照一定的加密算法对密码进行加密后发送给终端的家乡网络，此时，终端的家乡网络无法正确地识别认证请求中的密码，因此， 4艮可能返回错误的认证结果或者是不返回认证结果，使认证过程无法正常执行。发明内容

本发明实施例提供一种对终端进行认证的方法、系统及服务器，以解决现有技术中存在的由于终端的家乡网络和当前接入网络分别能够识别的认证数据的形式不同，导致认证过程无法正常执行的问题。

本发明实施例提供一种对终端进行认证的方法，包括：

认证信息转发服务器接收来自终端的认证请求，该认证请求包含终端标识和认证数据；

认证信息转发服务器按照终端的家乡网络能够识别的认证数据的形式，对来自终端的认证请求中的所述认证数据进行处理，并将包含处理后的认证数据的认证请求发送给终端的家乡网络；

所述终端的家乡网络根据接收到的认证请求中的终端标识和认证数据对所述终端进行认证，并返回认证结果。

本发明实施例提供一种对终端进行认证的系统 , 包括：

认证信息转发服务器，用于接收来自终端的认证请求，所迷认证请求包含终端标识和认证数据，并按照所述终端的家乡网络能够识别的认证数据的形式，对所述认证请求中的认证数据进行处理，并发送包含处理后的认证数据的认证请求；

终端的家乡网络服务器，用于接收认证信息转发服务器发送的认证请求，根据接收到的认证请求中的终端标识和认证数据对所述终端进行认证，并返回认证结果。

本发明实施例提供一种认证信息转发服务器，包括：

接收模块，用于接收来自终端的认证请求，所述认证请求包含终端标识和认证数据；

处理模块，用于按照所述终端的家乡网络能够识别的认证数据的形式，对所述认证请求中的所述认证数据进行处理；

发送模块，用于将包含处理后的认证数据的认证请求发送给所述终端的家乡网络。

本发明实施例在终端的当前接入网络和终端的家乡网络之间能够识别的认证数据的形式不同时，由认证信息转发服务器将认证数据按照家乡网络的要求进行处理后发送给家乡网络，让家乡网络能够正确地识别认证数据，并根据认证数据得到认证结果，正确地执行了认证过程，则终端的当前接入网络可以根据认证结果对终端执行相应的操作。附图说明

图 1为本发明实施例中对终端进行认证的方法流程示意图；

图 2为本发明实施例中处于漫游状态的终端来访时的信令流程示意图；图 3为本发明实施例中处于漫游状态的终端出访时的信令流程示意图；图 4为本发明实施例中对终端进行认证的系统结构示意图；

图 5为本发明实施例中认证信息转发服务器的结构示意图。具体实施方式

下面结合说明书附图对本发明实施例进行详细描述。

在本发明实施例中，终端的家乡网络和当前接入网络所覆盖的区域可以完全不重合，可以部分不重合，也可以完全重合，这两个网络存储和能够识别的认证数据的形式不同。认证数据是指终端的家乡网络对终端进行认证时使用的数据，包括密码等数据。认证数据的形式包括：明文形式或者按照一定加密算法加密后的形式。

如图 1 所示，为本发明实施例中对终端进行认证的方法流程示意图，所述方法包括以下步骤：步骤 101 : 认证信息转发服务器接收来自终端的认证请求，该认证请求包含终端标识和认证数据。

认证信息转发服务器将接收到的终端标识和认证数据保存到数据库中，并同时建立所述终端标识和认证数据之间的对应关系。所述终端标识包括但不限于所述终端的用户名等用于表征该终端身份的信息，所述认证数据包括但不限于密码等用于让终端的家乡网络对该终端的合法性进行判断的数据。中的服务器，也可以是终端的家乡网络中的服务器，还可以是能够与终端的当前接入网络和家乡网络进行通信的独立的服务器。

步骤 102:认证信息转发服务器按照终端的家乡网络能够识别的认证数据的形式，对来自终端的认证请求中的认证数据进行处理，并将包含处理后的认证数据的认证请求发送给该终端的家乡网络。

在本步骤中，认证信息转发服务器要处理的认证数据是明文形式的，如果终端发送的认证请求中的认证数据是明文形式的，则此时认证信息转发服务器可以直接对接收到的认证数据进行处理；如果终端发送的认证请求中的认证数据不是明文形式的，则认证信息转发服务器需要能够识别该认证数据的形式，并能够将该认证数据的形式转换为明文形式，再对转换为明文形式后的认证数据进行处理。

步骤 103:该终端的家乡网络根据接收到的所述包含处理后的认证数据的认证请求对终端进行认证，并返回认证结果，此时一次认证过程结束，认证结果可以通过认证信息转发服务器转发给终端的当前接入网络。

在本实施例中的步骤 102之前，除了认证信息转发服务器接收来自终端的认证请求外，终端的当前接入网络也可以接收来自终端的认证请求，终端的当前接入网络接收来自终端的认证请求的方法包括但不限于以下两种：第一种方法：终端向认证信息转发服务器发送认证请求，该认证信息转发服务器接收到所述认证请求后，将该认证请求转发给终端的当前接入网络。

第二种方法：终端直接向认证信息转发服务器和当前接入网络发送认证请求。

在实际的认证过程中，可以由终端的当前接入网络触发认证信息转发服务器向终端的家乡网络发送认证请求，因此，在步骤 101和步骤 102之间，终端的当前接入网络在接收到来自终端的认证请求后，还可以与认证信息转发服务器之间进行信息交互，触发认证信息转发服务器向终端的家乡网络发送认证请求，该信息交互过程包括以下两步：

第一步：终端的当前接入网络对接收到的认证请求中的认证数据按照设定条件进行操作后，将包含按照设定条件操作后的认证数据的认证请求发送给认证信息转发服务器。

设定条件可以是根据终端的当前接入网络所能够存储和识别的认证数据的形式确定的，例如，若终端发送的所述认证数据是明文形式，且当前接入网络能够存储和识别的认证数据也是明文形式，则设定条件可以是不对接收到的明文形式的认证数据进行处理；若当前接入网络能够存储和识别的认证数据是按照 CHAP加密算法进行加密后的形式，则设定条件可以是按照 CHAP 加密算法对认证数据进行加密。

由于终端的当前接入网络不需要根据所述认证数据对终端的合法性进行判断，所以即使所述认证数据的形式是当前接入网络不能识别的也没有关系，当前接入网络只要对接收到的认证数据按照设定条件进行操作即可。

第二步：认证信息转发服务器接收到终端的当前接入网络发送的包含按照设定条件操作后的认证数据的认证请求后，从中确定终端标识，并根据确定的终端标识从来自终端的认证请求中确定出对应的认证数据。

例如：认证信息转发服务器接收到的来自终端的认证请求中的内容为：终端标识 "A"，认证数据 " 123" ; 终端的当前接入网络发送的认证请求中的内容为：终端标识 "A"，认证数据 "abc" , 其中， "abc" 是将 "123" 按照设定条件操作后获得的。认证信息转发服务器根据终端的当前接入网络发送的认证请求中的终端标识 "A" , 确定该终端标识 "A" 在来自终端的认证请求中对应的认证数据是 "123"。在执行完上述第二步后，认证信息转发服务器就可以根据确定的认证数据执行步骤 102 的操作。本发明实施例的方案中，也可以不执行以上第一步和第二步的操作，由认证信息转发服务器接收到来自终端的认证请求后，就按照终端的家乡网络能够识别的认证数据的形式，对来自终端的认证请求中的所述认证数据进行处理。

在步骤 102 中，认证信息转发服务器需要确定终端的家乡网络能够识别的认证数据的形式，该确定方式可以有多种，包括但不限于：

1、终端在向认证信息转发服务器发送认证请求时，携带该终端的家乡网络的信息；

2、认证信息转发服务器根据终端发送的认证请求中的终端标识确定该终端的家乡网络；

3、终端的当前接入网络根据来自终端的认证请求中的终端标识确定该终端的家乡网络，并将该家乡网络的信息发送给认证信息转发服务器。

认证信息转发服务器确定终端的家乡网络后，根据网络与该网络能够识别的认证数据形式的对应关系，查找出所述终端的家乡网络能够识别的认证数据的形式，根据查找出的终端的家乡网络能够识别的认证数据的形式对来自终端的认证数据进行相应的处理。这里的网络与该网络能够识别的认证数据形式的对应关系可以保存在认证信息转发服务器中，也可以保存在一个能够与认证信息转发服务器进行通信的独立实体中，还可以保存在终端的当前接入网络中。

通过以上步骤 101至步骤 103的描述，在终端的当前接入网络和家乡网络分别能够存储和识别的认证数据的形式不同时，实现了的认证过程的正常执行。进一步地，当所述终端还需要再次发起认证时，向认证信息转发服务器发送的认证请求中可以只包含终端标识，认证信息转发服务器可以在根据建立并保存的终端标识和认证数据之间的对应关系查找出对应的认证数据后，执行后续的认证流程。

终端的家乡网络和当前接入网络是两个不同网络的情况有多种，典型的情况是终端处于漫游状态的情况。下面以终端处于漫游状态为例，对上述实施例中的方法进行进一步地描述。

如图 2所示，为本发明实施例中终端处于漫游状态来访时的信令流程示意图，在本实施例中，终端的当前接入网络（即拜访地网络）存储和识別的是按照 CHAP加密算法加密后的认证数据，终端的家乡网络（即归属地网络）存储和识别的是口令认证协议（ Password Authentication Protocol， PAP ) 明文认证数据，拜访地网络和归属地网络之间的信息转发是通过认证信息转发服务器实现的。在本实施例中，认证信息转发服务器可以由漫游服务商提供的漫游二级入口（Portal )服务器和中间服务器组成，终端当前要求获取 WLAN 业务数据。本发明实施例的流程如下：

步骤 2001 : 终端处于漫游状态时，与拜访地的接入点（Access Point, AP ) /认证控制器（Authentication Controller, AC )进行探测、关联，并获取 IP地址。

步骤 2002: 终端将 WLAN业务请求发送给拜访地的 AC, 并由该 AC将该业务请求重定向至拜访地的一级 Portal服务器。

步骤 2003: 拜访地的一级 Portal服务器确定该终端的归属地网络，并将所述业务请求重定向至漫游二级 Portal服务器。

拜访地的一级 Portal服务器确定该终端的归属地网络可以是根据终端的标识等信息主动确定的，也可以是终端选择归属地网络后将该归属地网络的信息发送给拜访地的一级 Portal服务器的。

步骤 2004: 漫游二级 Portal服务器向终端推送认证页面。

步骤 2005: 终端通过所述认证页面输入认证请求中的用户名和密码。步骤 2006: 漫游二级 Portal服务器将接收到的用户名和密码以明文形式备份在数据库中。

步骤 2007: 漫游二级 Portal服务器将接收到的认证请求转发给拜访地的一级 Portal服务器。

步骤 2008: 拜访地的一级 Portal服务器向拜访地的 AC 发送请求>挑战 ( Challenge ) 的信息。

步骤 2009: 拜访地的 AC 向拜访地的一级 Portal 服务器发送分配的 Challenge信息。

步骤 2010: 拜访地的一级 Portal服务器将认证请求发送给拜访地的 AC。步骤 2011：拜访地的 AC按照 CHAP加密算法对认证请求中的密码进行加密，并将包含加密操作后的密码的认证请求发送给拜访地的 AAA服务器。

步骤 2012: 拜访地的 AAA服务器向中间服务器转发包含已按照 CHAP 加密算法进行加密操作后的密码的认证请求。

步骤 2013: 中间服务器根据包含已进行加密操作后的密码的认证请求中的用户名从漫游二级 Portal服务器已备份的用户名和密码信息中查找出该用户名对应的明文形式的密码。

步骤 2014: 中间服务器将包含所述明文形式的密码的认证请求发送给终端的归属地 AAA服务器。

步骤 2015: 终端的归属地 AAA服务器根据接收到的认证请求中的终端用户名和密码对终端进行认证，并向中间服务器返回认证结杲。

在本步骤中，同时返回的还可以有授权信息。

步骤 2016: 中间服务器将认证结果返回给拜访地的 AAA服务器。

步骤 2017: 拜访地的 AAA服务器将认证结果转发给拜访地的 AC, 由 AC根据认证结果判断是否允许终端的业务请求。

通过以上 17步完成了终端在漫游状态中来访时的认证过程，后续在步骤 2018至步骤 2020中，还可以由拜访地的 AC通过拜访地的一级 Portal服务器和漫游二级 Portal服务器向终端推送包含认证结果的页面。

如图 3 所示，为本发明实施例中终端处于国际漫游状态出访时的信令流程示意图，在本实施例中，假设终端的当前接入网络（即拜访地网络）存储和识别的是 PAP明文认证数据，终端的家乡网络（即归属地网络）存储和识别的是按照 CHAP加密算法加密后的认证数据，拜访地网络和归属地网络之间的信息转发是通过认证信息转发服务器实现的，同样地，在本实施例中，认证信息转发服务器可以由漫游服务商提供的漫游二级 Portal服务器和中间服务器组成，终端当前要求获取 WLAN业务数据。本发明实施例的流程如下：本实施例中的步骤 3001至步骤 3007与上述实施例中的步骤 2001至步骤 2007相同，由于本实施例中拜访地网络识别的是 PAP明文认证数据，因此无需执行步骤 2008和步骤 2009，也就是说本实施例中的步骤 3008与上述实施例中的步骤 2010相同。

步骤 3009: 拜访地的 AC将包含明文形式的密码的认证请求发送给拜访地的 AAA服务器。认证请求。

步骤 3011 : 中间服务器按照归属地网络能够识别的密码形式，将拜访地的 AAA服务器转发的认证请求中的密码按照 CHAP加密算法进行加密。

步骤 3012: 中间服务器将包含已进行加密处理后的密码的认证请求发送给终端的归属地 AAA服务器。

步骤 3013至步骤 3018与步骤 2015至步骤 2020相同。

在上述两个实施例中涉及的拜访地网络中的各服务器可以称为终端的当前接入网络服务器，归属地网络中的各服务器可以称为终端的家乡网络服务器。

对应地，本发明实施例提供一种对终端进行认证的系统，如图 4所示，该系统包括认证信息转发服务器 11和终端的家乡网络服务器 12, 其中：认证信息转发服务器 11用于接收来自终端的认证请求，所述认证请求包含终端标识和认证数据，并按照所述终端的家乡网络能够识别的认证数据的形式，对所述认证请求中的所述认证数据进行处理，并发送包含处理后的认证数据的认证请求；终端的家乡网络服务器 12用于接收认证信息转发服务器 11发送的所述认证请求，根据接收到的认证请求中的终端标识和认证数据对所述终端进行认证，并返回认证结果。

所述系统还包括终端的当前接入网络服务器 13，用于接收来自终端的认证请求，对该认证请求中的认证数据按照设定条件进行操作，并将包含按照设定条件操作后的认证数据的认证请求发送给认证信息转发服务器 11。

所述认证信息转发服务器 11还用于建立并保存来自终端的认证请求中终端标识和认证数据的对应关系，并在接收到由终端的当前接入网络服务器 13 发送的认证请求中的终端标识后，从所述对应关系中查找出该终端标识对应的认证数据。

本发明实施例还提供一种认证信息转发服务器，该服务器可以是上述实施例中的认证信息转发服务器，如图 5所示，该服务器包括接收模块 21、处理模块 22和发送模块 23 , 其中：接收模块 21用于接收来自终端的认证请求，所述认证请求包含终端标识和认证数据；处理模块 22用于按照所述终端的家乡网络能够识别的认证数据的形式，对所述认证请求中的所述认证数据进行处理；发送模块 23用于将包含处理后的认证数据的认证请求发送给所述终端的家乡网络。

所述接收模块 21还用于接收来自终端的当前接入网络的认证请求，该认证请求中的认证数据是将来自终端的认证数据按照设定条件进行操作后的认证数据，终端标识与来自终端的认证请求中的终端标识相同。

所述处理模块 22进一步包括：对应关系建立单元 31、确定单元 32、查找单元 33和执行单元 34, 其中：对应关系建立单元 31用于建立并保存来自终端的认证请求中终端标识和认证数据的对应关系；确定单元 32用于确定来自终端的当前接入网络的认证请求中的终端标识；查找单元 33用于根据确定单元 32 确定的终端标识从所述对应关系中查找出该终端标识对应的认证数据；执行单元 34用于按照所述终端的家乡网络能够识别的认证数据的形式，对查找单元 33查找出的认证数据进行处理。

所述处理模块 22进一步用于：确定终端的家乡网络；根据网络与该网络能够识别的认证数据形式的对应关系，查找出所述终端的家乡网络能够识别的认证数据的形式；根据查找出的所述终端的家乡网络能够识别的认证数据的形式，对所述认证请求中的认证数据进行相应的处理。通过本发明实施例提供的对终端进行认证的方法、系统及服务器，在终端的当前接入网络和家乡网络所能识别的认证数据形式不同时，也能够正确执行认证过程，由终端的当前接入网络根据认证结果对终端执行相应的操作；特别是在终端处于漫游状态时，根据本发明实施例提供的方案，能够让终端的当前接入网络正确地获知终端的合法性，能够为终端提供更好的业务；另外，本发明实施例对现有的网络系统改造较小，改造成本较低，并且由于避免了对网络设备的分布式调整，因此提高了设备的稳定性。发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

权利要求

1、一种对终端进行认证的方法，其特征在于，包括：

所迷终端的家乡网络根据接收到的认证请求中的终端标识和认证数据对所述终端进行认证，并返回认证结果。

2、如权利要求 1所述的方法，其特征在于，在认证信息转发服务器接收到来自终端的认证请求时，建立并保存该认证请求中终端标识和认证数据的对应关系。

3、如权利要求 2所述的方法，其特征在于，认证信息转发服务器对来自终端的认证请求中的认证数据进行处理之前，还包括：

终端的当前接入网络接收来自终端的认证请求；

对接收到的认证请求中的认证数据按照设定条件进行操作；

将包含按照设定条件操作后的认证数据的认证请求发送给认证信息转发服务器。

4、如权利要求 3所迷的方法，其特征在于，在终端的当前接入网络将包含按照设定条件操作后的认证数据的认证请求发送给认证信息转发服务器之还包括：

认证信息转发服务器确定接收到的由终端的当前接入网络发送的认证请求中的终端标识；

根据确定的终端标识从保存的所述对应关系中查找出该终端标识对应的认证数据。

5、如权利要求 2所述的方法，其特征在于，所述终端的家乡网络返回认证结果之后，还包括：

认证信息转发服务器再次接收来自终端的认证请求，该认证请求包含终端标识；

根据保存的所述对应关系查找出再次接收到的认证请求中的终端标识对应的认证数据；

对查找出的认证数据按照终端的家乡网络能够识别的认证数据的形式进行处理，并将包含处理后的认证数据的认证请求发送给终端的家乡网络。

6、如权利要求 1所述的方法，其特征在于，所述来自终端的认证请求中的认证数据的形式是明文形式，或者所述来自终端的认证请求中的认证数据的形式是认证信息转发服务器能够识别的形式，并且认证信息转发服务器能够将该认证数据的形式转换为明文形式。

7、如权利要求 1所述的方法，其特征在于，所述认证信息转发服务器按照终端的家乡网络能够识别的认证数据的形式，对来自终端的认证请求中的认证数据进行处理，包括：

认证信息转发服务器确定终端的家乡网络；

根据网络与该网络能够识别的认证数据形式的对应关系，查找出所述终端的家乡网络能够识别的认证数据的形式；

根据查找出的所述终端的家乡网络能够识别的认证数据的形式，对来自终端的认证数据进行相应的处理。

8、一种对终端进行认证的系统，其特征在于，包括：

认证信息转发服务器，用于接收来自终端的认证请求，所述认证请求包含终端标识和认证数据，并按照所述终端的家乡网络能够识别的认证数据的形式，对所述认证请求中的认证数据进行处理，并发送包含处理后的认证数据的认证请求；

9、如权利要求 8所述的系统，其特征在于，还包括：

终端的当前接入网络服务器，用于接收来自终端的认证请求，对该认证请求中的认证数据按照设定条件进行操作，并将包含按照设定条件操作后的认证数据的认证请求发送给认证信息转发服务器。

10、如权利要求 9所述的系统，其特征在于，

所迷认证信息转发服务器，还用于建立并保存来自终端的认证请求中终端标识和认证数据的对应关系，在接收到由终端的当前接入网络服务器发送的认证请求中的终端标识后，从所述对应关系中查找出该终端标识对应的认证数据。

11、一种认证信息转发服务器，其特征在于，包括：

处理模块，用于按照所述终端的家乡网络能够识别的认证数据的形式，对所述认证请求中的所述认证数据进行处理；家乡网络。

12、如权利要求 11所述的认证信息转发服务器，其特征在于，

所迷接收模块，还用于接收来自终端的当前接入网络的认证请求，该认证请求中的认证数据是将来自终端的认证数据按照设定条件进行操作后的认证数据，终端标识与来自终端的认证请求中的终端标识相同。

13、如权利要求 12所述的认证信息转发服务器，其特征在于，所述处理模块包括：

对应关系建立单元，用于建立并保存来自终端的认证请求中终端标识和认证数据的对应关系；

确定单元，用于确定来自终端的当前接入网络的认证请求中的终端标识；查找单元，用于根据确定单元确定的终端标识从所述对应关系中查找出该终端标识对应的认证数据；

执行单元，用于按照所述终端的家乡网络能够识别的认证数据的形式，对查找单元查找出的认证数据进行处理。

14、如权利要求 11所述的认证信息转发服务器，其特征在于，所述处理模块进一步用于：

确定终端的家乡网络；

根据查找出的所述终端的家乡网络能够识别的认证数据的形式，对所述认证请求中的认证数据进行相应的处理。